Informativa Privacy
ART. 1: TITOLARE DEL TRATTAMENTO E CONTATTI
- Titolare del trattamento: Kemy S.r.l.s. (P.IVA:06062120875),con sede legale in Catania (CT), alla Via Giuseppe Patanè, n. 18, 95128, Italia.
- Email privacy / esercizio diritti: amministrazione@kemy.srl
- PEC: kemysrls@pec.it
- Altri (diversi da https://kemy.srl/) canali ufficiali del Titolare:
- https://mealprepacademy.it/;
- https://emyfoodlife.com/;
- Instagram, Facebook, TikTok (profili ufficiali).I social network sono piattaforme terze: il trattamento dei messaggi diretti segue sia questa informativa sia le privacy policy dei rispettivi provider.
Il Titolare decide finalità e modalità del trattamento dei dati personali connessi ai servizi offerti attraverso il sito web https://kemy.srl/: marketing digitale e comunicazione, progettazione e realizzazione impianti, immobiliare e gestione aziendale, consulenza e vendita in privato con preventivo.
1.2 Data Protection Officer (DPO)
DPO nominato: non presente.
Se in futuro la società individuerà un Responsabile della Protezione dei Dati (DPO), i suoi dati verranno qui pubblicati.
Il punto di contatto per tutte le richieste privacy rimane: amministrazione@kemy.srl
- Persone autorizzate al trattamento
Possono accedere ai dati, con istruzioni documentate ex art. 29 GDPR:
- il Titolare;
- i collaboratori e personale di supporto;
- i consulenti, anche legali, di riferimento;
- soggetti terzi nominati Responsabili esterni ex art. 28 (v. Art. 4).
Tutti sono vincolati a riservatezza.
ART. 2: DATI TRATTATI
Kemy S.r.l.s. tratta solo i dati necessari allo svolgimento dei servizi offerti (marketing digitale e comunicazione, progettazione e realizzazione impianti, immobiliare e gestione aziendale, consulenza e vendita in privato con preventivo, newsletter), in conformità ai principi di minimizzazione, correttezza e trasparenza.
- Dati di navigazione e log tecnici
Quando un utente visita i nostri siti web, sono automaticamente raccolti i seguenti dati, che sono necessari per il funzionamento del sito e che vengono trattati tramite cookie tecnici o strumenti equivalenti:
- Indirizzo IP;
- data/ora della visita;
- user-agent del browser/dispositivo;
- pagine visitate;
- eventuali errori tecnici;
- log di sicurezza e tentativi di accesso non autorizzati;
- eventi tecnici registrati tramite Google Tag Manager.
A cosa servono:
- sicurezza del sito;
- prevenzione abusi/frodi;
- funzionamento e manutenzione delle piattaforme;
- statistiche aggregate (solo previo consenso, se analytics non tecnici).
- Dati forniti dall’utente
Quando un utente compila il form sul sito o ci contatta tramite social o email, possiamo raccogliere:
- nome e cognome;
- email;
- numero di telefono;
- messaggio o richiesta inviata;
- preferenze marketing (checkbox di consenso);
- dati aziendali (per clienti business): denominazione, indirizzo, P.IVA/C.F., settore, ruolo, informazioni commerciali;
- informazioni necessarie al preventivo (es. numero dipendenti, esigenze aziendali, progetto richiesto).
- ultime cifre della carta;
2.3 Newsletter, offerte e comunicazioni commerciali
Raccogliamo:
- email;
- nome (per personalizzare la comunicazione);
- preferenze marketing (consenso);
- cluster di interesse basati su: tag provenienti da form, aperture/click nelle email (profilazione semplice).
Le comunicazioni sono inviate tramite MailerLite.
2.4 Dati generati da attività di profilazione semplice
Effettuiamo attività di profilazione semplice, limitata e non invasiva attraverso:
- click nelle email;
- dati derivanti da Meta Pixel (previo consenso).
La suddetta attività di profilazione semplice serve a:
- segmentare gli utenti in gruppi;
- inviare email più pertinenti;
- mostrare contenuti/annunci coerenti con i tuoi interessi;
- migliorare l’esperienza.
Non comporta decisioni automatizzate aventi effetti giuridici o similmente significativi (art. 22 GDPR).
2.5 Recensioni
Possiamo raccogliere:
- nome;
- email;
- testo della recensione;
- foto (solo previo consenso scritto);
- profilo social (se condiviso per interviste);
- recensioni su Trustpilot (dati gestiti da titolare autonomo).
2.6 Dati provenienti da Meta Ads e altre inserzioni
Quando un utente si iscrive tramite una Lead Ads o compila un form sponsorizzato, possiamo raccogliere:
- nome e cognome;
- email;
- numero di telefono;
- interessi selezionati;
- dati dichiarati nel form;
- sorgente dell’inserzione.
Questi dati provengono direttamente dall’utente, anche se raccolti tramite piattaforma terza.
2.7 Dati relativi ai minori
I nostri servizi possono essere fruiti anche da minori. Il trattamento avviene:
- con consenso del genitore/tutore per registrazioni;
- con meccanismi di rimozione rapida su richiesta del genitore;
- con limitazioni nelle attività di marketing rivolte ai minori.
Una sezione dedicata è presente all’Art. 10.
2.8 Altri strumenti e servizi usati
Durante l’uso del sito possono essere trattati dati tramite:
- Google Analytics 4 (solo previo consenso);
- Meta Pixel (solo previo consenso);
- Hotjar (solo previo consenso);
- Google Tag Manager;
- YouTube;
- BunnyCDN;
- Manychat;
- Dropbox;
- Google Workspace.
2.9 Dati tecnici e di sicurezza
Per garantire, il più possibile, la sicurezza dei dati compiamo le seguenti operazioni:
- log di sistema;
- log accesso account;
- backup periodici;
- trattiamo i dati necessari a rilevare anomalie o attacchi;
- ricerchiamo informazioni sulla configurazione dei dispositivi autorizzati;
- ricaviamo identificativi tecnici (ID contenuti nei cookie tecnici).
ART. 3: FINALITÀ DEL TRATTAMENTO, BASI GIURIDICHE E NATURA DEL CONFERIMENTO
Trattiamo i dati personali esclusivamente per le finalità descritte qui sotto.
Per ogni finalità indichiamo:
- Base giuridica;
- Dati trattati;
- Natura del conferimento (necessario/facoltativo);
- Conseguenze del mancato conferimento;
- Periodo di conservazione;
- Categorie di destinatari.
3.1 Tabella completa
A) Gestione dei contatti e riscontro alle richieste dell’utente
| Elemento | Descrizione |
| Finalità | Rispondere a richieste di informazioni, preventivi, assistenza, supporto tecnico, richieste social/WhatsApp. |
| Base giuridica | Art. 6(1)(b) GDPR – esecuzione di misure precontrattuali richieste dall’utente. |
| Dati trattati | Nome, cognome, email, telefono, messaggio, dati aziendali (se B2B), log di sistema Manychat/CRM. |
| Conferimento | Necessario per ricevere risposta. |
| Conseguenze mancato conferimento | Impossibilità di fornire assistenza. |
| Conservazione | Fino a evasione + verifiche periodiche ogni 12 mesi. |
| Destinatari | Hosting, email provider, CRM/automation (Manychat), consulenti autorizzati. |
B) Pagamenti
| Elemento | Descrizione |
| Finalità | Gestione dei pagamenti tramite Stripe, PayPal, Klarna, carte. |
| Base giuridica | Art. 6(1)(b) GDPR – contratto. |
| Dati trattati | Esito pagamento, ID transazione, ultime 3 cifre della carta. |
| Conferimento | Necessario. |
| Conseguenze mancato conferimento | Impossibilità di completare l’acquisto. |
| Conservazione | 10 anni per finalità fiscali; dati carta non trattati dal Titolare. |
| Destinatari | Stripe, PayPal, Klarna (titolari autonomi). |
C) Newsletter, offerte commerciali, campagne marketing
| Elemento | Descrizione |
| Finalità | Invio newsletter, comunicazioni promozionali, offerte. |
| Base giuridica | Art. 6(1)(a) GDPR – consenso esplicito (checkbox/form/ADS). |
| Dati trattati | Email, nome, preferenze, tag da Meta Ads, interazioni. |
| Conferimento | Facoltativo. |
| Conseguenze | Nessun impatto sui servizi; niente email promozionali. |
| Conservazione | Fino a revoca + 24 mesi dall’ultima interazione. |
| Destinatari | MailerLite (responsabile), Meta, Google (se cookie marketing attivi). |
D) Marketing differenziato clienti – non clienti
| Elemento | Descrizione |
| Finalità | Inviare ai clienti offerte dedicate, sconti personalizzati. |
| Base giuridica | Consenso (art. 6(1)(a)); NO soft-spam. |
| Dati trattati | Interazioni email, categorie acquistate. |
| Conferimento | Facoltativo. |
| Conseguenze | Il cliente non riceverà sconti o promozioni dedicate. |
| Conservazione | 24 mesi; rinnovo del consenso richiesto dopo 24 mesi di inattività. |
| Destinatari | MailerLite. |
E) Profilazione semplice e tracciamenti email
| Elemento | Descrizione |
| Finalità | Segmentazione utenti in base ad interesse, click, apertura email; invio comunicazioni pertinenti. |
| Base giuridica | Art. 6(1)(a) GDPR – consenso. |
| Dati trattati | Tag, cluster, aperture/click email, Meta Pixel. |
| Conferimento | Facoltativo. |
| Conseguenze | Comunicazioni meno pertinenti. |
| Conservazione | 12 mesi dalla raccolta. |
| Destinatari | MailerLite, Meta, Google (se analytics attivi). |
Non esistono decisioni automatizzate con effetti giuridici (art. 22 GDPR).
F) Meta Pixel, Google Analytics, Hotjar
| Elemento | Descrizione |
| Finalità | Analisi traffico, performance, remarketing, misurazione campagne. |
| Base giuridica | Art. 6(1)(a) GDPR – consenso tramite cookie banner. |
| Dati trattati | IP anonimizzato (se previsto), pagine visitate, ID dispositivo, interazioni. |
| Conferimento | Facoltativo. |
| Conseguenze | Navigazione invariata, ma senza personalizzazione/metriche. |
| Conservazione | Secondo durata cookie (es. GA4: 14 mesi). |
| Destinatari | Google LLC, Meta Platforms, Hotjar, BunnyCDN. |
G) Recensioni e pubblicazione di contenuti
| Elemento | Descrizione |
| Finalità | Pubblicare recensioni, testimonianze, foto/video. |
| Base giuridica | Art. 6(1)(a) – consenso scritto dell’interessato. |
| Dati trattati | Nome, foto, profilo social, testo recensione. |
| Conferimento | Facoltativo. |
| Conseguenze | Nessuna pubblicazione della recensione nominativa. |
| Conservazione | Fino a revoca. |
| Destinatari | Trustpilot (titolare autonomo), sito web, social. |
H) Sicurezza informatica, prevenzione abusi/frodi
| Elemento | Descrizione |
| Finalità | Protezione sistemi, rilevazione accessi anomali, gestione incidenti, log sicurezza. |
| Base giuridica | Art. 6(1)(f) – legittimo interesse del Titolare. |
| Dati trattati | IP, log, eventi GTM, device info, log account. |
| Conferimento | Necessario per usare il sito. |
| Conseguenze | Impossibilità di erogare il servizio in modo sicuro. |
| Conservazione | 24 mesi. |
| Destinatari | Hosting, CDN (Bunny CDN), fornitori IT. |
I) Adempimenti legali, fiscali, contabili e tutela giudiziaria
| Elemento | Descrizione |
| Finalità | Assolvere obblighi di legge e tutelare i diritti del Titolare in sede giudiziaria. |
| Base giuridica | Art. 6(1)(c) – obbligo legale; Art. 6(1)(f) – legittimo interesse. |
| Dati trattati | Fatture, ricevute, corrispondenza, documenti fiscali, log, ordini. |
| Conferimento | Necessario. |
| Conseguenze | Impossibile concludere contratti. |
| Conservazione | 10 anni. |
| Destinatari | Commercialista, consulenti legali, autorità. |
ART. 4: DESTINATARI E RESPONSABILI DEL TRATTAMENTO
Preliminarmente, si afferma che non vendiamo dati personali e non effettuiamo diffusione al pubblico.
4.1 Categorie di destinatari
I dati possono essere comunicati alle seguenti categorie di soggetti:
- Fornitori IT e hosting: Provider hosting e server dei siti web, CDN (Bunny CDN), Sistemi di sicurezza e backup. Il loro Ruolo è quello di Responsabili del trattamento ex art. 28 GDPR;
- Piattaforme per email marketing e automazioni: MailerLite (invio newsletter, automazioni email, segmentazioni), ManyChat (automazioni chat / social DM). Il loro Ruolo è quello diResponsabili del trattamento: essi registrano aperture/click e gestiscono segmentazioni solo se hanno ottenuto consenso;
- Strumenti di marketing e analisi: Meta Platforms (Facebook/Instagram Ads, Meta Pixel), Google LLC (Google Analytics GA4, Google Tag Manager, Drive, Meet, Workspace), Hotjar (mappe di calore, registrazione sessioni). Il loro Ruolo è il seguente:
- i cookie/tracciatori sono Titolari autonomi del Trattamento;
- Workspace/Drive/Meet sono Responsabili del Trattamento (secondo contratto DPA ufficiale Google). Per questi strumenti i dati possono essere trasferiti extra-UE: vedi Art. 5;
- Pagamenti online: i dati di pagamento vengono trattati direttamente dai provider Stripe, PayPal, Klarna, nonché da circuiti di carta di credito/debito. Il loro Ruolo è quello di Titolari autonomi del Trattamento. Noi non trattiamo né conserviamo i dati della carta.
- Logistica e spedizioni: GLS (corriere). Il suo Ruolo è quello diResponsabile esterno. GLS riceve i dati necessari a spedire e gestire resi (nome, indirizzo, telefono).
- Consulenti e professionisti: Commercialista/studio fiscale, Consulenti legali, Collaboratori autorizzati interni. Il loro Ruolo è il seguente:
- Se elaborano dati solo su nostra istruzione, essi sono Responsabili del Trattamento;
- Se agiscono per obblighi di legge, essi sono Titolari autonomi del Trattamento;
- Autorità competenti: autorità fiscali, giudiziarie, forze dell’ordine. Il loro Ruolo è quello di Titolari autonomi per obblighi di legge.
4.2 Persone autorizzate al trattamento (art. 29 GDPR)
All’interno di Kemy S.r.l.s. possono accedere ai dati, secondo istruzioni documentate:
- il Titolare del trattamento;
- i collaboratori coinvolti nelle attività e-commerce, assistenza, social;
- i legali ed i professionisti incaricati.
Tutti i soggetti richiamati sono vincolati a riservatezza e apposite policy interne.
4.3 Elenco completo dei Responsabili
L’elenco aggiornato e completo dei responsabili del trattamento è disponibile su richiesta inviando email a: amministrazione@kemy.srl
ART. 5: TRASFERIMENTI EXTRA-UE
I dati personali possono essere trasferiti al di fuori dello Spazio Economico Europeo (“SEE”) quando necessario per l’utilizzo di servizi digitali forniti da aziende con sede extra-UE (es. Stati Uniti). Kemy S.r.l.s. effettua tali trasferimenti solo verso Paesi che garantiscono un livello di protezione conforme al GDPR, adottando una o più delle seguenti basi giuridiche.
5.1 Basi per il trasferimento dei dati
A) Decisione di adeguatezza – Data Privacy Framework (DPF)
Per alcuni servizi statunitensi che hanno aderito al DPF UE-USA, il trasferimento avviene sulla base della decisione di adeguatezza della Commissione Europea (luglio 2023). Esempi: Google LLC (per alcuni servizi), MailerLite, Meta Platforms Inc. nei limiti in cui risultino certificati al DPF.
B) Clausole Contrattuali Standard (SCC) + misure supplementari
Quando il fornitore non rientra nel Data Privacy Framework, utilizziamo le SCC adottate dalla Commissione Europea, integrate da:
- cifratura in transito e a riposo;
- pseudonimizzazione (laddove possibile);
- minimizzazione;
- controllo degli accessi;
- policy interne e limitazioni contrattuali del fornitore;
- 2FA sugli account;
- sistemi di monitoraggio e log.
Queste garanzie sono applicate per: Streamyard, Dropbox, ManyChat, Hotjar.
C) Art. 49 GDPR – deroghe (solo in via residuale)
Utilizzate solo quando indispensabile e mai in modo sistematico.
5.2 Valutazioni d’impatto e Transfer Impact Assessment (TIA)
Per ciascun trasferimento extra-UE verso fornitori che non rientrano nel DPF, Kemy S.r.l.s. effettua una Transfer Impact Assessment (TIA) per valutare:
- il quadro normativo del Paese terzo;
- il livello di rischio per i diritti degli interessati;
- le misure tecniche e organizzative di mitigazione;
- la necessità del trasferimento in relazione al servizio.
Una sintesi del TIA o una copia delle SCC può essere richiesta all’indirizzo: amministrazione@kemy.srl
5.3 Fornitori che possono comportare trasferimenti extra-UE
Di seguito i principali servizi utilizzati:
| Fornitore | Paese | Base del trasferimento |
| Google LLC (Analytics, Workspace, Tag Manager, YouTube) | USA | DPF + SCC |
| Meta Platforms Inc. (Facebook/Instagram Ads, Pixel) | USA | DPF (parziale) + SCC |
| MailerLite | USA/UE | DPF/SCC |
| ManyChat | USA | SCC |
| Streamyard | USA | SCC |
| Dropbox | USA | SCC |
| Hotjar | UE/extra-UE | SCC |
| Stripe | USA/UE | SCC (titolare autonomo) |
| PayPal | USA/UE | SCC (titolare autonomo) |
| Klarna | UE | Non extra-UE |
| BunnyCDN | vari | SCC se extra-UE |
| Trustpilot | UE | Non extra-UE |
Nota importante:
per tutti gli strumenti di marketing (Meta, GA4, Hotjar), nessun dato non tecnico viene trasferito senza consenso esplicito dell’utente tramite cookie banner.
5.4 Conservazione dei dati presso fornitori extra-UE
I fornitori extra-UE trattano i dati solo per:
- erogare i servizi a Kemy S.r.l.s.;
- garantire sicurezza, affidabilità e backup;
- rispettare la normativa locale.
Sono vietate:
- forme di rivendita dei dati;
- uso per finalità proprie non compatibili con l’accordo;
- addestramento dei modelli IA, se non autorizzato.
5.5 Diritti degli utenti in caso di trasferimenti extra-UE
Gli utenti mantengono tutti i diritti del GDPR anche quando i dati vengono trattati negli Stati Uniti o in altri Paesi terzi.
In caso di reclami, oltre al Garante, è possibile rivolgersi al Data Protection Review Court (DPF) per i fornitori certificati.
ART. 6: TEMPI DI CONSERVAZIONE DEI DATI
Conserviamo i dati personali solo per il tempo necessario alle finalità per cui sono stati raccolti, nel rispetto degli artt. 5(1)(e) e 13 GDPR, nonché delle normative civilistiche, fiscali e commerciali. Quando non è possibile indicare un termine fisso, utilizziamo criteri chiari e verificabili (periodicità di verifica, ultima interazione, necessità contrattuale o legale).
6.1 Tabella di conservazione per finalità
| Finalità del trattamento | Categorie di dati | Base giuridica | Durata di conservazione |
| Gestione richieste tramite form di contatto/email/DM social | Dati di contatto, contenuto della richiesta | Contratto o misure precontrattuali (art. 6(1)(b)) | Fino a evasione + 12 mesi (per controlli organizzativi) |
| Creazione e gestione account su Systeme.io | Nome, cognome, email, telefono, dati di fatturazione | Contratto (art. 6(1)(b)) | Per tutta la durata dell’account + 24 mesi dall’ultima attività |
| Fatturazione e obblighi amministrativi/fiscali | Dati identificativi, pagamento, fatturazione | Obbligo legale (art. 6(1)(c)) | 10 anni (obbligo di legge) |
| Pagamenti (Stripe, PayPal, Klarna) | Dati transazione | Titolari autonomi | Secondo loro policy |
| Newsletters, comunicazioni commerciali, offerte | Nome, email, preferenze | Consenso (art. 6(1)(a)) | Fino a revoca + massimo 24 mesi dall’ultima interazione |
| Comunicazioni marketing verso clienti (soft marketing) | Email cliente | Legittimo interesse (art. 6(1)(f)) e art. 130(4) Codice Privacy | Fino a opt-out + 24 mesi dall’ultima interazione |
| Profilazione semplice (cluster click) | Storico interazioni email, click | Consenso (art. 6(1)(a)) | 12 mesi, poi anonimizzazione |
| Analytics e statistiche (GA4) | Dati navigazione, metriche sito | Consenso (art. 6(1)(a)) | 14 mesi (impostazione GA4) |
| Cookie tecnici | Log tecnici, preferenze CMP | Legittimo interesse / Necessità tecnica | Durata del cookie (vedi Cookie Policy) |
| Cookie non tecnici (marketing/analytics) | ID online, cookie, Pixel | Consenso (art. 6(1)(a)) | Secondo durata specifica del cookie (vedi Cookie Policy) |
| Registrazione accessi e log sicurezza | IP, timestamp, device, tentativi accesso | Legittimo interesse (art. 6(1)(f)) | 6–12 mesi (a seconda del log) |
| Recensioni (nome/foto) | Nome, foto, testo recensione | Consenso (art. 6(1)(a)) | Fino a revoca del consenso |
| Gestione contenziosi e tutela giudiziaria | dati necessari | Legittimo interesse (art. 6(1)(f)) | Per il tempo necessario alla difesa dei diritti |
6.2 Criteri aggiuntivi
Quando non è possibile stabilire un termine preciso, la conservazione avviene secondo i seguenti criteri:
- tempo necessario alla gestione del rapporto con l’utente;
- obblighi legali in materia fiscale, civilistica e commerciale;
- necessità di tutelare il Titolare in caso di controversie;
- periodiche verifiche interne (almeno annuali) sulle finalità e sulle basi giuridiche.
6.3 Cancellazione o anonimizzazione
Al termine dei periodi indicati, i dati vengono cancellati, oppure pseudonimizzati o anonimizzati, quando utili a fini statistici o di miglioramento dei servizi.
ART. 7: COOKIE ED ALTRI TRACCIATORI
Sul sito utilizziamo cookie e tecnologie simili (pixel, script, local storage) per garantire il corretto funzionamento della piattaforma, comprendere l’utilizzo dei servizi e, previa prestazione del consenso, svolgere attività di analisi e marketing. Una descrizione completa, l’elenco dettagliato di cookie e tracciatori con durata e terze parti, è disponibile nella Cookie Policy dedicata e nel banner di gestione preferenze (CMP), accessibile in ogni momento tramite il link “Preferenze Cookie” presente nel footer.
7.1 Funzionamento del Cookie Banner (CMP)
Il banner è configurato secondo i principi di “equal prominence” stabiliti dal Garante:
- Pulsanti “Accetta tutti”, “Rifiuta tutti” e “Personalizza” sul medesimo livello e con pari evidenza;
- Nessun cookie non tecnico viene installato prima del consenso;
- Chiusura del banner tramite “X” equivale alla mancata prestazione di alcun consenso;
- Il consenso è granulare per categorie (es. analytics, marketing);
- Il rifiuto o la revoca sono sempre possibili attraverso il link “Preferenze Cookie”.
Registro dei consensi (per 12–24 mesi):
- timestamp del consenso;
- versione del banner/policy;
- categorie accettate o rifiutate;
- device/browser.
In caso di modifica sostanziale dei partner o delle finalità, verrà richiesto un nuovo consenso.
7.2 Come modificare o revocare il consenso
L’utente può:
- cliccare su “Preferenze Cookie” nel footer del sito;
- modificare selettivamente le categorie attive;
- revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento precedente.
Art.8: PROFILAZIONE E DECISIONI AUTOMATIZZATE
8.1 Profilazione semplice
Svolgiamo attività di profilazione non invasiva, basata unicamente su:
- interazioni con le email (aperture, click, link cliccati);
- preferenze indicate dall’utente nei form.
La profilazione è utilizzata esclusivamente per:
- inviare contenuti più pertinenti agli interessi dell’utente;
- proporre offerte e comunicazioni personalizzate;
- segmentare gli utenti in gruppi.
La profilazione avviene previo Consenso esplicito (art. 6(1)(a) GDPR) dell’utente, dallo stesso prestato tramite checkbox nei form del sito e tramite form nelle ADS Meta; L’utente può revocare il consenso in qualsiasi momento.
Il consenso è facoltativo.
La mancata prestazione non incide sull’uso del sito.
8.2 Tecnologie utilizzate
La profilazione avviene tramite:
- MailerLite (invio newsletter e analisi aperture/click);
- MetaPixel (solo se l’utente presta consenso marketing);
- Google Analytics4 (solo previa accettazione cookie analytics);
- Hotjar (mappe e comportamento interfaccia, solo con consenso);
- Systeme.io (non usato a fini di profilazione commerciale senza consenso).
La profilazione è limitata, non produce categorie sensibili né comporta effetti significativi per l’utente.
8.3 Decisioni automatizzate ex art. 22 GDPR
Non adottiamo decisioni basate unicamente sul trattamento automatizzato che producano effetti giuridici o incidano significativamente sulla persona, ai sensi dell’art. 22 GDPR.
Qualsiasi raccomandazione di contenuti o offerte personalizzate:
- non limita i diritti dell’utente;
- non comporta obblighi né impatti sostanziali;
- può essere disattivata revocando il consenso.
8.4 Periodo di conservazione dei dati di profilazione
I dati utilizzati per la profilazione vengono conservati per:
- 12 mesi dall’ultima interazione (linee guida EDPB + best practice marketing);
- successivamente anonimizzati o cancellati, salvo diverso obbligo di legge.
8.5 Diritto di opposizione
L’utente può:
- revocare il consenso al marketing e alla profilazione tramite link “unsubscribe” presente in ogni email;
- scrivere a amministrazione@kemy.srl;
- disattivare i cookie di marketing dal pannello “Preferenze Cookie”.
La revoca è immediata e non pregiudica la liceità del trattamento precedente.
ART. 9: DIRITTI DELL’INTERESSATO E MODALITA’ DI ESERCIZIO
Gli utenti (interessati) possono esercitare in qualsiasi momento i diritti riconosciuti dagli artt. 15–22 GDPR e dal Codice Privacy.
I diritti sono gratuiti e vengono gestiti entro 30 giorni dalla richiesta (prorogabili di ulteriori 60 giorni in caso di complessità, previa comunicazione motivata).
9.1 Quali diritti possono essere esercitati
– Diritto di accesso (art. 15), per ottenere:
- conferma che sia o meno in corso un trattamento dei tuoi dati;
- copia dei dati trattati;
- informazioni su finalità, categorie, destinatari, tempi di conservazione e diritti;
– Diritto di rettifica (art. 16), per chiedere la correzione dei dati inesatti o l’integrazione di quelli incompleti;
– Diritto alla cancellazione (art. 17), perchiedere che i dati siano cancellati quando:
- non siano più necessari alle finalità raccolte;
- l’interessato revochi il consenso;
- l’interessato si opponga al trattamento;
- i dati siano trattati illecitamente;
- vi sia un obbligo legale di cancellazione.
La cancellazione potrebbe essere negata quando sussistono obblighi di legge (es. conservazione fiscale 10 anni);
– Diritto alla limitazione del trattamento (art. 18), quando:
- l’interessato contesti l’esattezza dei dati;
- l’interessato si opponga al trattamento (in attesa di valutazione);
- il trattamento sia illecito ma l’interessato non voglia la cancellazione;
- i dati servono per la difesa in giudizio;
– Diritto alla portabilità dei dati (art. 20): se il trattamento si basi su contratto o consenso, l’interessato può ottenere i dati in formato strutturato, interoperabile, oppure chiederne la trasmissione diretta a un altro titolare, se tecnicamente possibile.
– Diritto di opposizione (art. 21):
- al trattamento basato su legittimo interesse (es. sicurezza, organizzazione interna), indicando le ragioni legate alla situazione particolare dell’interessato;
- in qualsiasi momento, senza motivazione, al marketing diretto e alla profilazione collegata al marketing.
In caso di opposizione al marketing, l’attività cessa immediatamente;
– Diritto di revoca del consenso (art. 7) in ogni momento, senza che ciò pregiudichi la liceità del trattamento precedente.
– Diritto di proporre reclamo al Garante (art. 77)
Se l’interessato ritenga che i suoi diritti siano stati violati, può presentare reclamo all’autorità di controllo:
Garante per la Protezione dei Dati Personali
Sito: https://www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it
Resta salva la possibilità di adire l’autorità giudiziaria (art. 79 GDPR).
9.2 Modalità di esercizio dei diritti
L’interessato può esercitare i propri diritti inviando una richiesta all’email privacy (Titolare):amministrazione@kemy.srl
In caso di richiesta relativa a dati trattati tramite servizi terzi (Stripe, PayPal, Meta, Google, Systeme.io ecc.), collaboreremo con tali soggetti per fornire un riscontro completo.
9.3 Identificazione del richiedente
Per tutelare la sicurezza dei dati, il Titolare potrebbe richiedere informazioni aggiuntive per verificare l’identità del richiedente, quando necessario, ex art. 12(6) GDPR.
ART. 10: MINORI
10.1 Accesso dei minori ai servizi
Alcuni servizi offerti dal Titolare (es. iscrizione a community) possono essere utilizzati anche da soggetti che non abbiano ancora compiuto gli anni 18.
Il Titolare adotta misure ragionevoli per verificare la liceità del trattamento, nel rispetto degli artt. 8 GDPR e 2-quinquies del Codice Privacy.
10.2 Minori di anni 14
Per i servizi della società dell’informazione offerti direttamente a un minore con età inferiore a 14 anni, il trattamento dei dati personali è lecito solo con il consenso del titolare della responsabilità genitoriale.
Il Titolare potrà quindi:
- richiedere la conferma del rapporto di responsabilità genitoriale;
- richiedere un recapito del genitore/tutore per conferma del consenso;
- sospendere o limitare l’account fino alla ricezione del consenso.
10.3 Minori tra 14 e 18 anni
i minori di età compresa tra 14 e 18 anni:
- possono usufruire autonomamente dei servizi che non comportano rischi elevati;
- per attività che comportano trattamenti particolari (es. pagamenti, contenuti personalizzati, profilazione) il Titolare può richiedere un consenso del genitore/tutore quando necessario.
10.4 Acquisti e pagamenti effettuati da minori
Nei casi in cui un minore comunichi dati personali al fine di completare un acquisto:
- il Titolare considera necessario che il pagamento sia effettuato da un maggiorenne (genitore/tutore) o comunque da un soggetto debitamente autorizzato;
- il Titolare potrà richiedere conferma dell’età dell’acquirente o del consenso del genitore/tutore, quando appropriato.
10.5 Revoca del consenso e rimozione dei dati dei minori
Il genitore/tutore può:
- revocare il consenso in qualsiasi momento;
- richiedere la cancellazione immediata di dati personali del minore;
- richiedere la rimozione da materiali registrati quando il minore è riconoscibile, nei limiti tecnici e contrattuali.
Richieste: amministrazione@kemy.srl
10.6 Sicurezza dei minori
Il Titolare adotta misure tecniche e organizzative aggiuntive per la protezione dei dati dei minori, tra cui:
- limitazione dell’accesso ai dati al solo personale autorizzato (collaboratori e legali);
- minimizzazione dei dati richiesti;
- misure di sicurezza (2FA, dispositivi protetti, backup, policy interne).
ART. 11: MISURE DI SICUREZZA, AGGIORNAMENTI E VERSIONE DELL’INFORMATIVA
11.1 Misure di sicurezza tecniche e organizzative
Il Titolare adotta misure tecniche e organizzative adeguate ai sensi degli artt. 24, 25 e 32 GDPR, proporzionate ai rischi del trattamento e costantemente aggiornate.
Si indicano, di seguito, a titolo meramente esemplificativo e non esaustivo, alcune delle misure tecniche ed organizzative adottate.
Misure tecniche:
- sistemi e dispositivi protetti da password/PIN complessi;
- autenticazione a due fattori (2FA) su account, email e piattaforme utilizzate;
- aggiornamenti periodici dei software e dei sistemi operativi;
- antivirus e sistemi antimalware attivi;
- connessioni cifrate (HTTPS / TLS);
- backup periodici off-site e/o cifrati;
- minimizzazione dei dati negli strumenti e ambienti operativi;
- controllo e gestione dei log di accesso.
Misure organizzative:
- accesso ai dati limitato a personale autorizzato: titolare, collaboratori interni ed esterni, legali e consulenti;
- accordi di riservatezza e istruzioni vincolanti per i collaboratori;
- processi di revisione periodica e cancellazione dei dati non più necessari;
- valutazioni d’impatto e TIA (Transfer Impact Assessment), ove richiesto per i trasferimenti extra-UE;
- gestione degli incidenti di sicurezza e procedure di data breach conformi agli artt. 33–34 GDPR.
11.2 Aggiornamenti dell’informativa
Il Titolare si riserva di modificare o aggiornare la presente informativa in qualsiasi momento, quando:
- cambia la normativa applicabile;
- cambiano i trattamenti effettuati o i fornitori;
- vengono introdotti nuovi servizi o funzionalità;
- vi sono modifiche organizzative rilevanti.
In caso di modifiche rilevanti che impattino sui diritti dell’interessato (es. nuove finalità, nuove basi giuridiche, nuovi destinatari o trasferimenti fuori UE):
- l’utente verrà informato tramite avviso sul sito, email o banner;
- se richiesto dalla legge, verrà richiesto un nuovo consenso.
La versione sempre aggiornata è disponibile sul sito.
11.3 Decorrenza e versione
- Versione: 1.0
- Data ultimo aggiornamento: 20.11.2025